Το πιο πρόσφατο εργαλείο ΑΙ του GitHub μπορεί να διορθώνει αυτόματα ευπάθειες κώδικα

[deniSun]

Είναι μια κακή μέρα για τα bugs. Νωρίτερα σήμερα, η Sentry ανακοίνωσε τη λειτουργία AI Autofix για την αποσφαλμάτωση του κώδικα παραγωγής και τώρα, λίγες ώρες αργότερα, το GitHub λανσάρει την πρώτη beta της δυνατότητας αυτόματης διόρθωσης σάρωσης κώδικα για την εύρεση και τον καθορισμό ευπαθειών ασφαλείας κατά τη διάρκεια της διαδικασίας κωδικοποίησης. Αυτή η νέα λειτουργία συνδυάζει τις δυνατότητες του Copilot της GitHub σε πραγματικό χρόνο με την CodeQL, τη σημασιολογική μηχανή ανάλυσης κώδικα της εταιρείας. Η εταιρεία παρουσίασε για πρώτη φορά αυτή τη δυνατότητα σε προεπισκόπηση τον περασμένο Νοέμβριο.

Το GitHub υπόσχεται ότι αυτό το νέο σύστημα μπορεί να αποκαταστήσει περισσότερα από τα δύο τρίτα των ευπαθειών που βρίσκει - συχνά χωρίς οι προγραμματιστές να χρειάζεται να επεξεργαστούν οι ίδιοι τον κώδικα. Η εταιρεία υπόσχεται επίσης ότι η αυτόματη διόρθωση κώδικα θα καλύπτει περισσότερο από το 90% των τύπων ειδοποιήσεων στις γλώσσες που υποστηρίζει, οι οποίες επί του παρόντος είναι η JavaScript, η Typescript, η Java και η Python.

Αυτή η νέα λειτουργία είναι πλέον διαθέσιμη για όλους τους πελάτες του GitHub Advanced Security (GHAS).

https://techcrunch.com/wp-content/up...ityAutofix.gif

"Ακριβώς όπως το GitHub Copilot απαλλάσσει τους προγραμματιστές από κουραστικές και επαναλαμβανόμενες εργασίες, η αυτόματη διόρθωση σάρωσης κώδικα θα βοηθήσει τις ομάδες ανάπτυξης να ανακτήσουν χρόνο που προηγουμένως ξόδευαν στην αποκατάσταση", γράφει το GitHub στη σημερινή ανακοίνωση. "Οι ομάδες ασφαλείας θα επωφεληθούν επίσης από τη μείωση του όγκου των καθημερινών ευπαθειών, ώστε να μπορούν να επικεντρωθούν σε στρατηγικές για την προστασία της επιχείρησης, συμβαδίζοντας με τον επιταχυνόμενο ρυθμό ανάπτυξης".



Στο παρασκήνιο, αυτή η νέα λειτουργία χρησιμοποιεί τη μηχανή CodeQL, τη μηχανή σημασιολογικής ανάλυσης του GitHub, για την εύρεση ευπαθειών στον κώδικα, ακόμη και πριν αυτός εκτελεστεί. Η εταιρεία διέθεσε μια πρώτη γενιά της CodeQL στο κοινό στα τέλη του 2019, αφού εξαγόρασε τη νεοσύστατη επιχείρηση ανάλυσης κώδικα Semmle, όπου η CodeQL επωάστηκε. Με την πάροδο των ετών, έκανε αρκετές βελτιώσεις στην CodeQL, αλλά ένα πράγμα που δεν άλλαξε ποτέ ήταν ότι η CodeQL ήταν διαθέσιμη δωρεάν μόνο για ερευνητές και προγραμματιστές ανοιχτού κώδικα.

Τώρα η CodeQL βρίσκεται στο επίκεντρο αυτού του νέου εργαλείου, αν και το GitHub σημειώνει επίσης ότι χρησιμοποιεί "έναν συνδυασμό ευρετικών μεθόδων και APIs του GitHub Copilot" για να προτείνει τις διορθώσεις του. Για τη δημιουργία των διορθώσεων και των επεξηγήσεών τους, το GitHub χρησιμοποιεί το μοντέλο GPT-4 της OpenAI. Και ενώ το GitHub είναι σαφώς αρκετά σίγουρο για να προτείνει ότι η συντριπτική πλειοψηφία των προτάσεων αυτόματης διόρθωσης θα είναι σωστή, η εταιρεία σημειώνει ότι "ένα μικρό ποσοστό των προτεινόμενων διορθώσεων θα αντικατοπτρίζει μια σημαντική παρανόηση της βάσης κώδικα ή της ευπάθειας".

πηγή via DeepL

[Eruyome(MMXGN)]

Javascript, Java, Python...

Κάντε το enable σε C/C++ γατάκια να σας δω.

Δεν ήξερα για το CodeQL, ωραίο εργαλείο φαίνεται.

[goku]

beta της δυνατότητας αυτόματης διόρθωσης σάρωσης κώδικα

Δεν ασχολούμαι επαγγελματικά με τον προγραμματισμό, αλλά αυτή την περίοδο μαθαίνω python. Έχω δοκιμάσει το copilot της Microsoft για παραγωγή κώδικα και για διόρθωση / optimization κώδικα που έχω παράγει εγώ, και έχω παρατηρήσει ότι περιστασιακά κάνει λάθη που βγάζουν μάτι. Φυσικά κάνει καλή δουλειά, στο 98% των περιπτώσεων μου έχει βγάλει χρήσιμο κώδικα, αλλά υπάρχει και ένα 2% που μου έχει βγάλει λάθος κώδικα. Αυτό το νέο εργαλείο που βγήκε είναι τόσο καλό ώστε να το εμπιστευτεί κάποιος για να του διορθώνει αυτόματα τον κώδικα, χωρίς ο ίδιος ο προγραμματιστής να ελέγχει τι αλλαγές πρόκειται να κάνει το ΑΙ εργαλείο; Και σαν αρχάριος παράγω πολύ απλό κώδικα, κάποιος έμπειρος επαγγελματίας σίγουρα θα παράγει αρκετά πολύπλοκο κώδικα, οπότε και μεγαλύτερες πιθανότητες να γίνει κάτι λάθος.

[deniSun]

Κάντε το enable σε C/C++ γατάκια να σας δω.

[Pixel 57]

Javascript, Java, Python...

Κάντε το enable σε C/C++ γατάκια να σας δω.

Δεν ήξερα για το CodeQL, ωραίο εργαλείο φαίνεται.

Ε κάτσε, προχτές παρουσίασε τις B100 ο πέτσινος, δεν τις έχουν παραλάβει ακόμα.

[tsigarid]

Αυτόματη διόρθωση ευπαθειών μπορεί να γίνει μόνο σε επίπεδο input, άρα θα εισάγει conditional tests αντί να διορθώνει το τι προσφέρεται στα υπομέρους τμήματα του κώδικα, με βάση unit tests. Αυτή η λύση δουλεύει, αλλά έχει performance penalty, δεν είναι καλή για μεγάλα πράματα.